Арешт викрадачів акаунтів Roblox під Львовом, злом китайського планувальника задач з метою майнінгу та інші події кібербезпеки - ForkLog: криптовалюти, ШІ, сингулярність, майбутнє

# Арешт викрадачів акаунтів Roblox під Львовом, злом китайського планувальника задач з метою майнінгу та інші події у сфері кібербезпеки

Ми зібрали найважливіші новини з світу кібербезпеки за тиждень.

• Правоохоронці провели операції проти скам-центрів у Європі, ОАЕ та Таїланді.
• Експерти виявили набір для фішингу з функціями штучного інтелекту.
• Хакери з Дрогобича продали облікові дані гравців Roblox майже на 10 млн гривень.
• Критична помилка у програмному забезпеченні викупників призводить до безповоротної втрати даних.

Правоохоронці провели операції проти скам-центрів у Європі, ОАЕ та Таїланді

В рамках спільної операції правоохоронці США, Китаю, ОАЕ та Таїланду припинили діяльність дев’яти криптовалютних скам-центрів і затримали 276 підозрюваних. Про це опублікував американський Мін’юст.

Затримані в ОАЕ та Таїланді використовували схеми «забою свиней». Після згоди жертви вони втрачали доступ до «інвестованої» криптовалюти. Злочинці також переконували потерпілих позичати гроші у родичів і брати кредити.

Громадянину М’янми Тет Мін Ньї пред’явлено обвинувачення у змові з метою шахрайства та відмивання грошей. За версією слідства, він був менеджером і вербувальником у одній із кримінальних структур, відомій як Ko Thet Company. Також суд очікують члени групувань Sanduo Group і Giant Company.

В Європі минулого тижня ліквідували мережу скаммерів, яка, за попередніми даними, завдала жертвам по всьому світу збитків на суму понад 50 млн євро.

Спільна операція Європолу та Євроюсту, розпочата у червні 2023 року, призвела до затримання 10 підозрюваних, а також обшуків у трьох кол-центрах і дев’яти приватних резиденціях в Австрії та Албанії.

Скам-центр у Тирані. Джерело: Європол.За даними слідства, жертв заманювали на фейкові інвестиційні платформи через рекламу у пошукових системах і соцмережах. Насправді кошти спрямовувалися у міжнародну схему відмивання грошей. У випадках вторинного обману злочинці повторно зв’язувалися з «клієнтами», пропонуючи допомогу у відновленні втрачених активів. Від людей вимагали внести ще 500 євро у криптовалюті як вступний внесок.

Мошенницька мережа була зареєстрована як легальне підприємство із 450 співробітниками. Оператори працювали у групах по шість-вісім осіб, розділених за мовною ознакою, і отримували щомісячну зарплату близько 800 євро, а також бонуси.

Експерти виявили набір для фішингу з функціями штучного інтелекту

Спеціалісти з кібербезпеки Varonis виявили набір інструментів для фішингу Bluekit. Він надає зловмисникам понад 40 шаблонів, імітуючих популярні сервіси, а також включає вбудованого помічника штучного інтелекту для створення чорновиків шкідливих кампаній.

Набір пропонує скрипти, орієнтовані на електронну пошту (Outlook, Hotmail, Gmail, Yahoo, ProtonMail), iCloud, GitHub і криптогаманець Ledger.

Головною особливістю Bluekit є панель AI Assistant, яка підтримує кілька моделей штучного інтелекту, включаючи Llama, GPT-4.1, Claude, Gemini і DeepSeek. Інструмент допомагає кіберзлочинцям складати тексти фішингових листів.

За думкою Varonis, функція перебуває на експериментальній стадії. Протестований чорновик атаки мав корисну структуру, але містив загальні поля для посилань, плейсхолдери для QR-кодів і текст, що потребує доопрацювання перед використанням.

Джерело: Varonis. Окрім штучного інтелекту, Bluekit об’єднує в одній панелі управління весь цикл атаки:

• реєстрація доменів. Купівля та налаштування адрес безпосередньо з інтерфейсу;
• управління кампаніями. Створення фішингових сторінок із реалістичним дизайном і логотипами відомих брендів, таких як Zara, Zoho і Ledger;
• тонке налаштування. Блокування трафіку через VPN і проксі, відсіч автоматизованим системам аналізу і встановлення фільтрів на основі цифрових відбитків пристроїв;
• перехоплення даних. Передача викраденої інформації через Telegram у приватні канали хакерів.

Джерело: Varonis. Платформа дозволяє відстежувати сесії жертв у режимі реального часу, включаючи куки, локальне сховище і стан активної сесії після входу. Це допомагає хакерам коригувати атаки для досягнення максимальної ефективності.

За думкою експертів, незважаючи на стадію активної розробки, продукт швидко еволюціонує і може отримати широке поширення.

Хакери з Дрогобича продали облікові дані гравців Roblox майже на 10 млн гривень

Правоохоронці Львівської області затримали шахраїв, які викрали акаунти у Roblox на 10 млн гривень, повідомив Офіс Генпрокурора України.

За даними слідства, троє мешканців Дрогобича просували інфостилери під виглядом інструментів для покращення гри. За допомогою шкідливого програмного забезпечення хакери отримували доступ до облікових даних жертв.

Джерело: Офіс Генпрокурора України. Отримані доступи перевіряли за допомогою спеціальної програми (чекера), яка показувала вміст акаунта. З жовтня 2025 по січень 2026 року таким способом відфільтровано понад 610 000 кабінетів для пошуку найцінніших. Дані продавали за криптовалюту на російських ресурсах.

Внаслідок 10 обшуків правоохоронці вилучили техніку, записи, понад 2500 євро і близько $35 000. Фігурантам повідомлено про підозру у крадіжці та кіберзлочинах.

Критична помилка у програмному забезпеченні викупників призводить до безповоротної втрати даних

Спеціалісти Check Point виявили серйозний дефект у механізмі обробки криптографічних одноразових чисел (nonce) у викупнику VECT 2.0. Замість шифрування помилка призводить до знищення даних без можливості відновлення.

Проблема полягає в тому, як VECT 2.0 обробляє файли розміром понад 128 КБ. Щоб прискорити процес, програма ділить об’єкти на чотири частини і шифрує їх окремо. Однак помилки у логіці програмування спричиняють катастрофічні наслідки:

1. Усі частини файлу використовують один і той самий буфер пам’яті для виводу nonce. Кожен новий згенерований ключ перезаписує попередній.
2. В результаті залишаються лише одні, які записуються на диск.
3. Відновити можна лише останні 25% файлу. Перші три частини даних розшифрувати неможливо, оскільки необхідні для цього унікальні числа були безповоротно втрачені під час роботи.

Навіть якщо жертва заплатить викуп, зловмисники не зможуть дешифрувати дані, оскільки видалені nonce не передаються на сервери хакерів.

Дослідники зазначили, що поріг у 128 КБ надзвичайно малий. Під нього підпадає майже вся цінна корпоративна інформація:

• образи віртуальних машин;
• бази даних і резервні копії;
• офісні документи, таблиці і поштові скриньки.

Це перетворює шкідливу програму з викупника у звичайний знищувач даних (вайпер), що робить виплату викупу безглуздою. Помилка присутня у всіх варіантах VECT 2.0 — для Windows, Linux і ESXi.

Некоректна назва алгоритму шифрування у рекламі викупників. Джерело: Check Point.За даними експертів, VECT активно рекламували на хакерській платформі BreachForums. Оператори запрошували користувачів стати партнерами і розсилали ключі доступу через особисті повідомлення.

Згодом група оголосила про партнерство з TeamPCP — командою, що стоїть за недавніми атаками на ланцюжки поставок Trivy, LiteLLM, Telnyx, а також на Європейську комісію. Метою союзу було використання жертв для розгортання програм-вимагачів.

Хакери зламали планувальник задач Qinglong з метою майнінгу

Зловмисники використали дві уразливості обходу автентифікації у планувальнику задач Qinglong для прихованого майнінгу криптовалют на серверах розробників. Про це повідомили експерти з кібербезпеки Snyk.

Qinglong — платформа управління задачами на Python/JS з відкритим кодом, популярна серед китайських розробників.

Цепочка зараження для віддаленого виконання коду торкнулася версій Qinglong 2.20.1 і старших.

За даними фахівців, основна причина уразливостей полягає у невідповідності логіки авторизації проміжного програмного забезпечення та поведінки маршрутизації веб-фреймворка Express.js. Рівень автентифікації передбачав, що певні шаблони URL завжди оброблятимуться одним способом, тоді як Express.js використовував інший.

Згідно з Snyk, кампанія зловмисників розпочалася 7 лютого 2026 року. Користувачі Qinglong першими виявили прихований шкідливий процес .FULLGC. Для прихованості його назва імітує стандартне ресурсомістке завдання.

Майнер використовував 85–100% потужності процесора і був спрямований на системи Linux, ARM64 і macOS. Розробники Qinglong виправили уразливість у PR 2941.

Також на ForkLog:

• Квітень побив рекорд за кількістю зломів у криптоіндустрії.
• Хакер вивів із протоколу Wasabi понад $5 млн.
• У ZetaChain розкрили деталі кросчейн-атаки на $334 000.
• Хакери атакували DeFi-протокол Scallop.
• У Litecoin провели реорганізацію блоків через помилку нульового дня.

Що почитати на вихідних?

Спеціально для тих, хто пропустив найважливіше за місяць, ForkLog підготував короткий огляд.